Se ha demostrado una falla de escalada de privilegios en Windows Server 2025 que hace posible que los atacantes comprometan a cualquier usuario en Active Directory (AD).
«El ataque explota la característica de la cuenta de servicio administrada delegada (DMSA) que se introdujo en Windows Server 2025, funciona con la configuración predeterminada y es trivial de implementar», dijo el investigador de seguridad de Akamai, Yuval Gordon, en un informe compartido con Hacker News.
«Este problema probablemente afecta a la mayoría de las organizaciones que dependen de AD. En el 91% de los entornos que examinamos, encontramos usuarios fuera del grupo de administradores de dominio que tenían los permisos requeridos para realizar este ataque».
Lo que hace que la vía de ataque sea notable es que aprovecha una nueva característica llamada Deleged Managed Service Cuentas (DMSA) que permite la migración de una cuenta de servicio heredado existente. Se introdujo en Windows Server 2025 como una mitigación de ataques de kerberoasting.
La técnica de ataque ha sido nombrado en código Éxito de baño por la compañía de infraestructura y seguridad web.
«DMSA permite a los usuarios crearlos como una cuenta independiente o reemplazar una cuenta de servicio estándar existente», señala Microsoft en su documentación. «Cuando un DMSA reemplaza una cuenta existente, la autenticación de esa cuenta existente utilizando su contraseña está bloqueada».
«La solicitud se redirige a la Autoridad de Seguridad local (LSA) para autenticarse con DMSA, que tiene acceso a todo lo que la cuenta anterior podría acceder en AD. Durante la migración, DMSA aprende automáticamente los dispositivos en los que se utilizará la cuenta de servicio que luego se utiliza para moverse de todas las cuentas de servicio existentes».
El problema identificado por Akamai es que durante la fase de autenticación de DMSA Kerberos, el Certificado de Atributo Privilegio (PAC) integrado en un boleto de ticket (es decir, credenciales utilizadas para verificar la identidad) emitida por un centro de distribución clave (KDC) incluye tanto el identificador de seguridad de DMSA (SID) como el SIDS de la cuenta de servicio de todos los grupos de todos los clientes.
Esta transferencia de permisos entre las cuentas podría abrir la puerta a un posible escenario de escalada de privilegios simulando el proceso de migración de DMSA para comprometer a cualquier usuario, incluidos administradores de dominios, y obtener privilegios similares, violando efectivamente todo el dominio incluso si el dominio Windows Server 2025 de una organización no está utilizando DMSA.
«Un hecho interesante sobre esta técnica de ‘migración simulada’ es que no requiere ningún permiso sobre la cuenta reemplazada», dijo Gordon. «El único requisito es escribir permisos sobre los atributos de un DMSA. Cualquier DMSA».
«Una vez que hemos marcado un DMSA según lo precedido por un usuario, el KDC asume automáticamente una migración legítima y felizmente otorga a nuestro DMSA cada permiso que tenía el usuario original, como si fuera su sucesor legítimo».
Akamai dijo que informó los hallazgos a Microsoft el 1 de abril de 2025, después de lo cual el gigante tecnológico clasificó el problema como moderado en severidad y que no cumple con la barra para el servicio inmediato debido al hecho de que la explotación exitosa requiere que un atacante tenga permisos específicos sobre el objeto DMSA, lo que sugiere una elevación de privilegios. Sin embargo, actualmente se está trabajando en un parche.
Dado que no hay una solución inmediata para el ataque, se recomienda a las organizaciones que limiten la capacidad de crear DMSA y endurecer los permisos siempre que sea posible. Akamai también ha publicado un guión de PowerShell que puede enumerar a todos los directores no predeterminados que pueden crear DMSA y enumerar las unidades organizativas (OUS) en las que cada director tiene este permiso.
«Esta vulnerabilidad introduce una ruta de abuso previamente desconocida y de alto impacto que hace posible que cualquier usuario con permisos de CreateChild en un OU comprometa a cualquier usuario en el dominio y obtenga un poder similar al privilegio de cambios de directorio de replicación utilizado para realizar ataques DCSYNC», dijo Gordon.